분석 정보/악성코드 분석 정보

파일리스 공격 방식을 사용하는 DarkWatchman 악성코드

2021. 12. 29. 15:43

최근 자바스크립트로 작성한 "DarkWatchman" 악성코드가 발견됐다. 해당 악성코드는 공격자가 운영하는 C&C 서버에서 명령을 받아 사용자 PC를 조작하며, 키로거 악성코드를 실행해 사용자가 키보드로 입력한 값을 수집 및 공격자에게 전송한다.

 

"DarkWatchman" 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다.

 

[그림 1] DarkWatchman 악성코드 유포 및 실행 흐름도

 

1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다.

2. 사용자가 첨부 파일을 다운로드 한 후, 압축을 해제하면 WinRAR SFX 형태의 압축 파일을 생성한다.

3. 압축 해제 후 생성한 실행 파일을 실행하면 자바스크립트로 작성한 DarkWatchman 악성코드를 실행한다.

4. DarkWatchman 악성코드는 키로거 파일의 난독화를 해제한 후, 파워쉘로 실행한다.

5. 사용자 키보드로 입력한 값을 가로채 레지스트리에 저장한다.

6. 공격자의 C&C 서버로 키보드 입력 로그를 전송한다.

7. 공격자의 C&C 서버와 통신 및 명령을 수신한다.

 

 

유포방식

공격자는 악성코드 유포를 위해 러시아 운송업체인 Pony Express에서 발송한 것처럼 위장한 이메일에 악성파일을 첨부하는 방식을 사용했다.

 

[그림 2] Pony Express로 위장한 악성 메일

 

사용자가 메일에서 다운로드한 첨부파일을 압축해제하면 WinRAR SFX 형태의 압축 파일이 있으며, 해당 압축 파일 내부에는 [그림 3]과 같이 바이너리 및 스크립트 파일이 있다. 추가로, WinRAR SFX 형태의 압축 파일을 실행하면 자바스크립트로 작성한 DarkWatchman 악성코드를 실행한다.

 

[그림 3] 첨부 파일 및 WinRAR SFX 압축 파일

 

 

DarkWatchman 악성코드

DarkWatchman 악성코드는 지속적인 실행을 위해 작업 스케줄러에 등록하며, C 드라이브의 볼륨 일련 번호를 사용해 생성한 값을 이름으로 사용한다.

 

[표 1] 작업 스케줄러 등록 정보

 

이후, 레지스트리에서 데스크탑 창 관리를 목적으로 사용하는 DWM 키에 악성코드에서 사용할 값을 등록한다.

 

[표 2] 레지스트리 등록 정보

 

악성코드가 [2]의 경로에 등록하는 값은 플래그 또는 데이터 저장을 위한 목적으로 나뉜다. [3]은 두 가지 목적 중 플래그로 사용하는 값을 정리한 표이다. 초기에 플래그로 사용하는 값은 설정돼 있지 않으며, 공격자가 지정한 명령을 받거나 악성 행위를 수행한 후에 1로 설정한다.

-       사용자 식별자(UID, User Identifer) : C 드라이브 볼륨 일련 번호 값

 

[표 3] 레지스트리 등록 상세 정보 – 플래그

 

[4]의 값들은 공격자가 운영하는 C&C 서버로부터 받은 데이터 등을 저장하거나 키로거 악성코드와 관련한 값을 저장한다.

 

[표 4] 레지스트리 등록 상세 정보 – 데이터 저장

 

또한, WinRAR SFX 형태의 압축 파일에서 드롭한 바이너리 파일을 읽어 [그림 4]와 같이 저장한다. 그후, 레지스트리에 저장한 데이터를 실행해 사용자가 키보드로 입력한 값을 가로채고, 해당 값을 저장하기 위한 버퍼로 레지스트리를 사용한다.

 

[그림 4] 키로거 악성코드 관련 레지스트리

 

키로거 악성코드 원본 파일의 1차 난독화를 해제해 획득한 데이터는 Base64 디코딩 과정을 거친 후 실행한다.

 

[그림 5] 키로거 악성코드 난독화 해제 과정

 

키로거 악성코드 실행 후, 레지스트리에 저장한 키보드 입력 값은 공격자가 운영하는 C&C 서버로 전송한다. 하지만 분석 시점에서는 연결되지 않았다.

 

[그림 6] 공격자의 C&C 서버 연결 패킷

 

추가로, C&C 서버의 도메인은 도메인 생성 알고리즘(DGA; Domain Generation Algorithm)을 사용해 동적으로 생성한다.

-       C&C 서버 도메인 형식 : [랜덤 7자리].top

-       C&C 서버 URL 형식 : https://[랜덤 7자리].top/index.php

 

[그림 7] DGA를 사용한 도메인 및 URL 생성 코드

 

공격자가 운영하는 C&C 서버와 정상적으로 연결해 받아온 명령의 정보는 [5]와 같으며, 실행 함수는 실제 코드에서 실행하는 함수 명이다.

 

[표 5] DarkWatchman 명령 정보

 

 

최근 정상 업체로 위장한 스팸 메일을 사용해 악성코드를 유포한 후, 사용자가 입력하는 키보드 값을 탈취하고 PC를 조작하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면